4 分で読めます

EU AI Act、日本企業への影響を整理する——どの業種・規模が「該当」するか

by Kuu株式会社 編集部
EU AI ActAIガバナンスコンプライアンス中小企業

EU向けのビジネスを展開している企業、あるいは今後EU市場への参入を検討している企業にとって、EU AI Actはもはや「他国の規制」では済まない問題だ。2025年8月から段階的施行が始まったこの法律は、EU域外に本社がある企業にも域外適用規定で効力を持つ。「うちは日本の会社だから関係ない」という思い込みが、コンプライアンス上のリスクに直結するケースが出始めている。

エージェントガバナンスの整備を進める企業にとって、EU AI Actへの対応は避けて通れないテーマだ。

EU AI Actとは何か——日本企業が知るべき基本構造

EU AI Actは2025年8月施行の欧州AI規制で、高リスク用途には適合性評価と人間監視体制の整備が義務です。

EU AI Act(欧州人工知能法)は、AIシステムのリスク水準に応じた義務を事業者に課す包括的な規制だ。全てのAIユースケースを次の4区分に分類する。

  1. 禁止(Unacceptable Risk): 社会的スコアリングやサブリミナル操作——完全禁止
  2. 高リスク(High Risk): 採用判断・与信・医療診断・重要インフラ管理——厳格な適合性評価が必要
  3. 限定リスク(Limited Risk): チャットボットやディープフェイク——透明性の開示義務
  4. 最小リスク(Minimal Risk): スパムフィルターやゲームAI——原則として規制なし

法律の重要な特徴は、AIを開発する「プロバイダー」だけでなく、既製AIを業務利用する「デプロイヤー」にも義務が発生する点だ。

高リスク区分の具体的な分類と日本企業への影響については、EU AI Actハイリスク区分の詳細解説も参照してほしい。

日本企業が「該当する」3つの条件

日本企業へのEU AI Act適用条件は、EU市場へのAI提供・EU拠点の業務利用・EU居住者データ処理の3点です。

自社がEU AI Actの適用対象かどうかは、次の3つの条件で判断できる。

条件1: EU市場向けにAIを使ったサービス・製品を提供している

ECサイトでEU居住者向けにAI推奨エンジンを動かしている、欧州の企業顧客にAI搭載SaaSを提供している——こうした場合は日本企業でも適用対象だ。未対応のまま継続すると、売上高の最大3%相当の制裁金が科される可能性がある。

条件2: EU域内に子会社・拠点・従業員がいる

EU国内の子会社や駐在員事務所でAIを業務利用している場合、その組織はEUのデプロイヤーとして義務を負う。親会社が日本法人であっても、EU拠点での業務利用は規制対象だ。特に人事評価や採用判断にAIを活用している拠点は優先的に確認が必要だ。

条件3: EU居住者の個人データをAIで処理している

採用選考でEU在住候補者の履歴書をAIスクリーニングしている、EU顧客の与信判断をAIで補助している——これらは高リスク区分として扱われる可能性が高く、GDPRとの複合規制の観点からも精査が必要だ。

業種別・AI用途別のリスク区分早見表

採用AI・与信AI・製造業の安全判断AIは高リスク区分に該当し、適合性評価と人間監視体制の整備が義務です。

自社のAI用途が高リスク区分に該当するかどうかは、以下の早見表で確認できる。

| 業種・用途 | AI活用例 | リスク区分 |
|-----------|---------|----------|
| 人事・採用 | 履歴書スクリーニング・採用判断支援 | 高リスク |
| 金融・与信 | 融資可否・クレジットスコアリング | 高リスク |
| 製造業 | 安全判断に関わる品質検査AI | 高リスク |
| 医療 | 診断支援・患者リスク評価 | 高リスク |
| 小売EC | 商品推奨・FAQ対応チャットボット | 限定〜最小 |
| マーケティング | パーソナライズ広告・コンテンツ生成 | 最小リスク |

高リスク区分に該当するAIを使っている場合、適合性評価の実施・ログ保管・人間による監視体制の整備・EU適合宣言の作成が義務になる。AIエージェントのセキュリティガバナンス監査ログ管理の整備は、これらの要件と直結している。

中小企業が今すぐ着手すべき3つの準備ステップ

EU AI Act対応は、AI台帳整備・リスク分類確認・サプライヤーへの適合確認の3ステップで着手できます。

対応を先送りにするほど修正コストは高くなる。以下の手順から始めてほしい。

ステップ1: AI台帳(AIインベントリ)を作成する

自社が使っているAIシステムを全て洗い出す。SaaS製品に組み込まれたAI機能も含め、「誰が・何の目的で・どのデータを使って」動かしているかを記録することが起点になる。エージェントガバナンス導入前チェックリストが台帳作成の参考になる。

ステップ2: 高リスク用途を特定してリスク分類する

台帳に記載した各AIについて、EU AI Actのリスク区分を判定する。人事・与信・医療・安全性に関わる用途は高リスクと仮定して精査することが原則だ。ISO 42001認証の取得を進めている企業は、そのドキュメント体系をEU AI Act対応の基盤として活用できる。

ステップ3: AIサプライヤーに適合状況を確認する

ChatGPT、Claude、Copilotなどの主要AIベンダーがEU AI Actにどう対応しているかを確認し、コンプライアンス文書の提供を求める。ベンダーが未対応の場合は、利用ポリシーの修正か代替ツールへの切り替えを検討する。

まとめ

EU AI Actは日本企業にも適用される国際規制だ。EU市場との接点があれば、会社の規模や所在地に関わらず対応が必要になる。まずはAI台帳の整備から始め、自社のAI用途が高リスク区分に該当するかどうかを確認することが重要だ。

採用・与信・安全判断にAIを使っている場合は特に急いで対応を確認してほしい。違反の種類によっては制裁金が売上高の最大6%相当に上る。自社のAI利用状況の可視化と対応ロードマップの策定についてはKuu株式会社にご相談ください

関連記事

EU AI Actのハイリスク規制——日本企業の該当事例と2026年の対応ステップChatGPT社内利用規程を今すぐ作る——中小企業向けテンプレートと3つの必須条項ISO 42001認証取得ロードマップ——中小企業が6ヶ月で達成する7ステップ日本AI推進法が中小企業に与える影響——施行前に押さえる3つの対応ポイント
← ブログ一覧へ戻る